Такого рода нападения трудно идентифицировать, поскольку для внедрения в сеть из различных узлов Internet, находящихся далеко друг от друга, производится одновременная посылка двух-трех вредоносных пакетов данных, "спрятанных" в миллионах абсолютно "невинных" пакетов. Несколько хакеров могут параллельно вести атаку на два узла, в силу чего имеющимся системам обнаружения вторжения намного сложнее идентифицировать пакеты, передаваемые в рамках скоординированного нападения.

"Ясно только одно - эти атаки согласованы, - сказал Стефан Норткат, глава отдела, занимающегося анализом вторжений в Вычислительном центре американских ВМС. - Непонятно только, каким именно образом злоумышленники координируют свои действия".

Пока известно, что в них принимает участие не менее 15 хакеров, но реальное число нападающих установить не удается. До сих пор мишенью таких атак становились сети, не входящие в непосредственную юрисдикцию Пентагона, и, по крайней мере, одна частная корпоративная сеть.

Хотя реальный ущерб, нанесенный в результате скоординированных атак, пока не определен, Норткат и его коллеги опубликовали сообщение для администраторов сети с предупреждением о появлении нового механизма вторжения.

"Мы даем информацию о том, как хакеры используют свое оружие, а не о том, что оно собой представляет", - заметил Тим Олдрич, еще один специалист по вопросам безопасности Вычислительного центра ВМС.

  
Группа Shadow (Secondary Heuristic Analysis for Defensive Online Warfare) разработала новую бесплатно распространяемую методику идентификации вторжений

Обычно один хакер пытается нанести удар сразу по нескольким узлам, но в данном случае, напротив, несколько хакеров вместе поражают один или несколько узлов.

Олдрич и его коллеги предполагают, что новые методы атаки найдут широкое применение, и это послужит стимулом к разработке новых и модернизации существующих инструментов обнаружения вторжений, методов защиты и баз данных с информацией о нападениях.

Для узлов с хорошо организованной защитой Internet-соединения новый механизм атаки не намного страшнее прежних. Но узлы, которые слабо защищены и имеют расположенные с внешней стороны брандмауэра маршрутизаторы, располагающие информацией о внутренней сети, особенно уязвимы.

Группа Shadow (Secondary Heuristic Analysis for Defensive Online Warfare), созданная в Военно-морском флоте США для анализа нападений на информационные системы, разработала новую бесплатно распространяемую методику идентификации вторжений, позволяющую отслеживать деятельность хакеров такого рода. Информацию о ней можно найти по адресу http://www.nswc.navy. mil/ISSEC/CID/.

Новая методика хакеров требует от экспертов по безопасности усовершенствовать методы защиты, которые до сих пор были ориентированы на атаки злоумышленника-одиночки. При скоординированных вторжениях, однако, один из хакеров может проводить разведку, в то время как другой осуществляет нападение. Обнаружение атак требует согласования атакующих пакетов, что крайне трудно, поскольку число их велико, к тому же рассылаются они из нескольких узлов одновременно. Норткат и другие исследователи, занимающиеся этой проблемой, намерены в феврале собраться на семинар по выявлению и отражению компьютерных атак, которую проводит SANS Institute. Более подробную информацию об этом можно получить по адресу http://www.sans.org/.

SANS Institute - это организация, занимающаяся исследованиями и изучением вопросов, связанных с защитой корпоративных сетей. В ее состав входят более 62 тыс. системных администраторов, специалистов по безопасности и сетевых администраторов.

Поделитесь материалом с коллегами и друзьями